Apple исправила XSS-уязвимость в macOS High Sierra

Похоже, что компания Apple по-тихому исправила уязвимость в macOS, которая позволяла взломщикам обойти защиту и поместить в систему вредоносный JavaScript-код.
Кавалларин

Проблема была обнаружена итальянским исследователем Филиппо Кавалларином, работающем в фирме кибербезопасности Segment. Он использовал программу SSD от Beyond Security, чтобы сообщить Apple об ошибке безопасным способом. Beyond Security переадресовала находку Кавалларина Apple 27 сентября. 28 сентября команда SSD заявила, что в ходе проверки macOS High Sierra выяснилось, что, Apple, похоже, исправила эту ошибку, но при этом не включила ее в обновление безопасности этого месяца.

Эксплойт использует локальный HTML-файл Apple для запуска вредоносного кода

Видя, что Apple исправила ошибку, 28 сентября Кавалларин опубликовал подробности об уязвимости в своем блоге. Краткое описание ошибки представлено ниже:

В общем и целом, Карантин Apple работает, устанавливая расширенный атрибут загруженным файлам (а также файлам, извлеченным из загруженных архивов/изображений). Этот атрибут говорит системе о том, что нужно открыть/извлечь эти файлы в ограниченную зону. Например, HTML-файл в карантине не сможет загрузить локальные ресурсы.

Уязвимость находится в одном HTML-файле rhtmlPlayer.html, являющемся частью ядра macOS X и уязвимому к межсайтовому скриптингу через DOM. Это позволяет выполнять произвольные JavaScript-команды в его (неограниченном) контексте.

Цепочка эксплойтов, разработанная Кавалларином, включает в себя создание вредоносного файла .webloc, который загружает локальный rhtmlPlayer.html, используя XSS-эксплойт в этом файле. Следом он запускает вредоносный JavaScript-код злоумышленника через rhtmlPlayer.html, минуя ограничение macOS на загрузку локальных ресурсов.

Когда пользователь получает файл и запускает его, даже если карантинная система Apple блокирует выполнение каких-либо локальных ресурсов, файл отправляет вредоносный код в локальный файл rhtmlPlayer.html, который выполняет его с полным доступом к любым локальным ресурсам операционной системы.

Рекомендации по решению проблемы

Кавалларин рекомендует пользователям обновится до macOS X High Sierra или удалить rhtmlPlayer.html, чтобы остаться в безопасности. Исследователь также сообщил, что проблема актуальна для версий macOS 10.12, 10.11, 10.10 и, возможно, более ранних.

Все технические детали доступны в блоге Кавалларина. Эксперт также записал видео, демонстрирующее, как злоумышленник может использовать уязвимости для запуска кода на машине пользователя:

Источник: Bleeping Computer